甲方有些业务系统出于安全需要，会绑定登录的IP地址只允许总公司的IP访问。这种情况下，分公司如果想要访问该业务系统，也必须走总公司的宽带才可以。在如何实现分公司访问指定地址的时候走总部流量一文中，我们介绍了通过PPTP来实现分公司走总公司线路的解决方案。本文中，我将介绍Openvpn的实现方案，openvpn不需要GRE协议，穿透性和安全性都比PPTP要强大。以下是具体的配置步骤：

1. 服务端的配置

在总部的WSG上面，需要开启OpenVPN服务端，选择用户名认证，推送路由里面既要推送总部的内网网段，也要推送甲方系统的IP地址。如下图：

在“账号配置”中添加本地账号，并且勾选VPN权限。

在“OpenVPN服务端”的客户端网段配置中，需要配置该客户端用户名对应的客户端内网网段。

2. 客户端的配置

在分部的WSG网关上，需要开启“Openvpn客户端”模块，先导入服务端的ca证书（可以在总部WSG的openvpn服务端的“CA证书”中下载）

添加服务端，配置服务端IP地址、端口、用户名密码等信息。

保存并且应用新配置后，就可以连上了。我们可以通过“命令行”中的“route”命令查看路由表，检查服务端的推送路由有没有生效。成功拨入后，路由表可以看到服务端推送的路由规则。

3. 服务端的防火墙规则

Openvpn客户端拨入后，适用于服务端的“外网-转发”方向的防火墙规则。要允许对端的IP地址访问外网甲方系统，还需要通过防火墙规则来允许。如下图：

经过上述配置后，分部的电脑无需任何设置，开机即可通过总部线路访问绑定的甲方系统。

注意事项：

1). openvpn不但实现了访问甲方系统，而且实现了两地组网。如果之前还有组网的ipsec隧道，需要删除掉，否则会导致openvpn不能互通。

2). 防火墙策略中会根据配置自动生成“Allow-OpenVPN-Inbound”，这条策略是允许openvpn拨入的，请不要修改这条策略。